Метод програмного виявлення мережевих прихованих каналів для протидії витоку інформації з обмеженим доступом

Abstract

The thesis considers network covert channels as a mechanism of hidden data exfiltration disguised as legitimate network traffic. Storage-based and timing-based channels are analysed, the main indicators for their software detection are identified, and an approach to detection based on statistical, temporal, behavioural and protocol traffic features is proposed. It is shown that the use of a baseline profile of normal network activity and an integrated anomaly score can improve protection against the leakage of restricted information.

У тезах розглянуто мережеві приховані канали як механізм прихованого виведення даних, що маскується під штатний мережевий обмін. Проаналізовано storage-based і timing-based канали, визначено основні ознаки їх програмного виявлення та запропоновано підхід до виявлення на основі аналізу статистичних, часових, поведінкових і протокольних характеристик трафіку. Показано, що використання базового профілю нормальної мережевої активності та інтегральної оцінки аномальності дає змогу підвищити ефективність протидії витоку інформації з обмеженим доступом.